關於網站的安全性注意事項

一個網站，安全問題可能從多方面而來。光靠任何一方面，都不可能保證絕對的安全。一個安全的網站，必須要靠各方面配合才能打造出來。
首當其衝的是伺服器的安全，伺服器本身如果被人入侵了，你的網站系統再安全，那也沒有任何作用。
其次是FTP或者遠端管理等的帳號安全，如果人家破解了你的FTP或者遠端管理許可權，那也就等於窗戶開給人家怕，那家裡的東西自然是隨便拿了。

上述的涉及系統管理的問題，這裡不多說了，重點說說第三方面：指令碼安全。縱橫
指令碼指在你的網站上的ASP，JSP，CGI等伺服器端啟動並執行指令碼代碼，比如動易系統、動網論壇都屬此類。
指令碼代碼的安全問題最主要最集中的問題出在兩個方面：SQL注入和FSO許可權。
互動網站大多有資料庫，ASP代碼通過SQL語句對資料庫進行管理，而SQL語句中的一些變數是通過使用者提交的表單擷取，如果對錶單提交的資料沒有做好過濾，攻擊者就可以通過構造一些特殊的URL提交給你的系統，或者在表單中提交特別構造的字串，造成SQL語句沒有按預期的目的執行。
經常有網友在動易論壇提交一些掃描報告，說動易有SQL注入漏洞。像動易這麼複雜的系統，我們不能說開發人員不會遺漏了一兩個表單資料的檢驗和過濾，如果的確存在這種疏忽，而攻擊者又通過原始碼看到了，那麼肯定網站是抵禦不了這樣的攻擊的。在早期的動力系統中，曾經有過這樣的漏洞。

到了動易的新版本，Team Dev在防止SQL注入方面下了很大的工夫，幾乎所有通過表單提交的資料，分字元性和數字性，分別用一個專門的函數進行處理。只要是提交的資料包含非法字元，或者被替換為安全字元，或者提交的資料被替換為預設值。為了程式具有較好的容錯性，我們並沒有對所有含有非法字串的資料提交都以抱錯回應。比如當使用者訪問ShowSource.asp這個網頁，提交ChannelID=%3D這樣的資料，系統就會將其修改為ChannelID=0，這是安全的資料，但是不會顯示“您所提交的資料非法”這樣的提示。因為對於訪問者而言，這是沒有必要的。

也就是因為這樣的原因，一些比較弱智的漏洞掃描器就以為提交的ChannelID=%3D被執行了，於是告訴使用者ShowSource.asp?ChannelID=%3D存在高危漏洞。縱橫科技
大家如果遇到掃描器報告有高危漏洞的，可以聯絡我們開發人員確認。經過開發人員確認不存在，那就肯定不存在。即使掃描器報告說有，你也不用擔心。因為攻擊者是沒有辦法利用這個漏洞的。

除了SQL注入，還有一個更嚴重的安全問題：上傳木馬。
由於上傳組件（通常ASP開發人員都使用一個或多個第三方開發的上傳組件或者ASP類）、站長的錯誤設定（允許上傳asp或者shtml等類型的檔案），或者其它存在的上傳漏洞，都可能存在被攻擊者上傳後門的可能性。一旦上傳了漏洞，攻擊者就獲得了站長的許可權，甚至超過站長的許可權（對整個伺服器構成安全威脅）。
這幾年來，包括動網、動力、動易在內的ASP系統，都曾經出現過上傳漏洞的問題（尤其是去年的upload.inc上傳.cer等類型檔案的漏洞）。但是為什麼每次發現這種大規模存在的漏洞之後，都只有一部分網站被黑呢？當然不是攻擊者手軟或者良心發現，而是一些網站通過伺服器設定，防止了這些漏洞導致的損失。舉個例子，如：

給各個不必要的目錄，去掉“執行”許可權，改為“無”，也就是這個目錄下的檔案，只能讀取，不能運行。比如動網論壇除了根目錄以外，其它所有目錄都只給讀取許可權即可，關閉執行許可權；動易系統給動易根目錄、各個頻道的根目錄以及User、Reg這些含有ASP網頁並且ASP要從瀏覽器訪問的目錄執行許可權即可，其它都可以設定為“無”。尤其是上傳目錄，比如UploadFiles這樣的目錄，還有圖片目錄，一定要設定為唯讀。
這樣設定以後，即使攻擊者找到了上傳漏洞，把asp木馬上傳到了你的UploadFiles目錄，他也不能利用那個木馬做什麼。
另外，如果你的伺服器採用NTFS檔案系統，那麼給網站檔案所在的目錄設定好許可權也很重要，網站所在目錄，只要給IUSR_你的機器名這個使用者開放了讀、寫入權限就能正常運行。不要給EveryOne\Guest這樣的使用者賦予完全許可權，非Web目錄，應該禁止IUSR_機器名這樣的使用者賦予許可權，這樣可以避免上傳的ASP木馬給伺服器造成嚴重的安全問題。
另外，在IIS的運用程式配置中，刪除不需要的程式映射，也是避免因為過濾不夠被攻擊者上傳了某些特殊類型的木馬進行攻擊的辦法。如：